Ransomware a la indústria alimentària

El ransomware s’ha consolidat en els últims anys com una de les amenaces més greus per a les infraestructures informàtiques a nivell mundial. En aquest context, la indústria alimentària ha demostrat ser especialment vulnerable. Tradicionalment centrada en l’eficiència operativa i la logística, moltes empreses del sector havien relegat la ciberseguretat a un segon pla. No obstant això, l’augment exponencial d’atacs ha obligat a un replantejament urgent de les estratègies de defensa digital. L’atac sofert per JBS Foods el 2021 no només va ser un dels més mediàtics, sinó també un cas paradigmàtic que va revelar vulnerabilitats estructurals en una de les majors empreses càrniques del món.

L’evolució del ransomware a la indústria alimentària en els últims set anys

Durant el període 2018-2023, el ransomware es va consolidar com un problema sistèmics per a la indústria alimentària. Una anàlisi de 157 incidents verificats indica que les organitzacions del sector han patit pèrdues acumulades que superen els 1.300 milions de dòlars en temps d’inactivitat, rescats pagats i costos de recuperació.

L’any 2021 va ser especialment crític, amb un repunt sense precedents. Es van registrar 64 atacs confirmats només aquell any, xifra que va representar gairebé el 40% del total acumulat del quinquenni. Els ciberdelinqüents, aprofitant l’augment de l’automatització industrial, les cadenes de subministrament hiperconnectades i una pandèmia global que va forçar una digitalització accelerada, van trobar en el sector alimentari un objectiu altament rendible.

Les demandes de rescat van oscil·lar entre 20.000 i 15 milions de dòlars per incident. A més del xifrat de dades, moltes bandes de ciberdelinqüents van adoptar tàctiques de doble extorsió, amenaçant de filtrar informació sensible si no es complien les seves exigències. Les organitzacions atacades van afrontar un promig de 11,5 dies d’inactivitat operativa, la qual cosa va generar desabastiment, dany reputacional i pèrdues financeres directes.

Els principals vectors d'entrada van incloure vulnerabilitats crítiques no posades pegats, atacs de phishing dirigits, accessos remots insegurs (per exemple, mitjançant RDP), i l'explotació de sistemes SCADA i OT interconnectats a xarxes corporatives sense una adequada segmentació.

L’atac a JBS: anàlisi

JBS S.A., amb seu al Brasil, és el major processador de carn del món, amb operacions en més de 20 països i vendes anuals que superen els 50.000 milions de dòlars. Al maig de 2021, l’empresa va patir un atac devastador que va paralitzar la seva operació als Estats Units, Canadà i Austràlia. El grup criminal REvil, conegut per la seva agressivitat i sofisticació, va ser identificat com el responsable de l’incident.

L’atac no va ser espontani. Segons informació obtinguda de SecurityScorecard i registres del Departament de Seguretat Nacional dels EUA, la intrusió va començar almenys tres mesos abans del xifrat massiu. Durant aquest període, els atacants van realitzar moviments laterals, reconeixement de xarxa i exfiltració sistemàtica de dades. S’estima que entre 45 GB i 5 TB d’informació sensible van ser transferits a servidors externs. Molts d’aquests dades provenien de filials a Austràlia i Brasil i van ser enviats a servidors a Hong Kong i serveis com Mega.

El 30 de maig, els sistemes IT de JBS van ser encriptats, obligant l’empresa a tancar temporalment 13 plantes processadores als EUA, incloent les de Texas, Utah i Wisconsin. Aquesta interrupció va afectar aproximadament el 20% del subministrament de carn al país, generant un impacte immediat en preus i logística minorista.

El que no es va divulgar àmpliament als mitjans generals va ser l’estat de ciberseguretat previ a l’atac. Segons documents filtrats, JBS presentava una postura digital deficitària. Hi havia múltiples infeccions per malware persistent, incloses variants del cuc Conficker. Els sistemes de detecció primerenca eren limitats o inexistents, i les pràctiques de gestió de vulnerabilitats eren rudimentàries. L’empresa, tot i operar com a infraestructura crítica, no comptava amb segmentació efectiva entre entorns IT i OT, la qual cosa va facilitar la propagació de l’atac.

El desenllaç va ser la decisió de pagar un rescat de 11 milions de dòlars en Bitcoin, justificant-ho com “per protegir els clients” i mitigar danys majors. Aquesta acció va ser criticada per diversos especialistes en ciberseguretat, ja que reforça el model econòmic del ransomware com a servei.

Anàlisi tècnic del vector d’atac

Les investigacions posteriors van revelar que REvil va utilitzar una combinació de tècniques avançades. La intrusió inicial probablement va ocórrer a través de credencials compromeses, possiblement obtingudes per phishing o mitjançant l’accés a VPNs vulnerables. Posteriorment, els atacants van escalar privilegis utilitzant eines com Cobalt Strike, van realitzar reconeixement amb PowerShell i van emprar exfiltració encoberta amb protocols HTTPS i emmagatzematge en el núvol xifrat.

L’ús de tàctiques de doble extorsió i xifrat personalitzat va impedir una recuperació immediata sense negociació. JBS, sense plans de continuïtat de negoci digital efectius, es va veure obligada a negociar directament amb els atacants.

Mesures de ciberseguretat d’última generació per al sector alimentari

Després d’incidents com el de JBS, el sector ha començat a implementar defenses més sòlides, combinant accions organitzatives i tècniques:

Segmentació de xarxa i protecció d’entorns OT

Moltes empreses adopten una segmentació estricta entre les xarxes IT (informació corporativa) i OT (tecnologia operativa). Això implica la creació de zones desmilitaritzades (DMZ), l’ús de firewalls industrials i regles de comunicació molt restrictives. La filosofia Zero Trust assegura que cap comunicació sigui confiable per defecte, ni tan sols dins de la mateixa xarxa interna.

Visibilitat i inventari d’actius

Detectar amenaces requereix conèixer els dispositius i serveis connectats. S’inverteix en solucions d’Asset Discovery per registrar i monitoritzar entorns OT i IT, incloent servidors, estacions de treball, sensors, PLCs i dispositius IoT.

Gestió de vulnerabilitats i parches

S’ha adoptat la gestió contínua de vulnerabilitats, amb detecció proactiva de CVEs, avaluació de criticitat segons l’impacte operatiu i programació de parches en finestres de manteniment. Quan l’actualització directa no és viable, es recorre a parches virtuals en firewalls.

Còpies de seguretat resilients

S’aplica la regla 3-2-1: tres còpies, dos suports diferents, una fora del lloc i amb protecció contra escriptura. A més, es fan servir backups inmutables que impedeixen el xifratge o esborrat maliciós encara que l’atacant accedeixi a les credencials de backup.

Detecció precoç i intel·ligència d’amenaces

Les empreses integren solucions SIEM i XDR per correlacionar esdeveniments, detectar comportaments anòmals i activar respostes automàtiques. La participació en grups sectorials com Food-ISAC facilita compartir indicadors de compromís i amenaces emergents.

Resposta davant incidents i simulacres

Els plans de resposta a incidents (IRP) s’estan revisant i formalitzant. Aquests plans defineixen els passos a seguir davant una intrusió, incloent-hi responsables, processos de comunicació interna i externa, coordinació amb autoritats i procediments de restauració.

El cas JBS va ser un punt d’inflexió per al sector alimentari, demostrant que fins i tot les empreses més grans i internacionals poden ser extremadament vulnerables sense estratègies de ciberseguretat adequades. El ransomware ha deixat de ser només un problema informàtic: és una amenaça directa a la continuïtat operativa, la seguretat alimentària i l’economia global.

Per contrarestar aquesta amenaça, cal una transformació profunda en la cultura organitzacional de ciberseguretat. No es tracta només de tecnologia, sinó també de processos, formació, monitorització constant i cooperació internacional. En aquest nou escenari, anticipar-se és la millor defensa, i la resiliència digital es converteix en un actiu estratègic per al sector.